【正文】 隧道協(xié)議，其數(shù)據(jù)包格式都是由乘客協(xié)議、封裝協(xié)議和傳輸協(xié)議3部分組成的。 第二層隧道協(xié)議——L2F、PPTP和L2TP第二層隧道協(xié)議用于傳輸?shù)诙泳W(wǎng)絡(luò)協(xié)議，它主要應(yīng)用于構(gòu)建Access VPN。隧道技術(shù)通過(guò)對(duì)數(shù)據(jù)進(jìn)行封裝，在公共網(wǎng)絡(luò)上建立一條數(shù)據(jù)通道（隧道）讓數(shù)據(jù)包通過(guò)這條隧道傳輸。PKI體系的身份認(rèn)證的例子有電子商務(wù)中用到的SSL安全通信協(xié)議的身份認(rèn)證、Kerberos等。VPN需要解決的首要問(wèn)題就是網(wǎng)絡(luò)上用戶與設(shè)備的身份認(rèn)證，如果沒(méi)有一個(gè)萬(wàn)無(wú)一失的身份認(rèn)證方案，不管其他安全設(shè)施有多嚴(yán)密，整個(gè)VPN的功能都將失效。這種算法也叫做公鑰加密。對(duì)稱密鑰加密，也叫做共享密鑰加密，是指加密和解密用的密鑰是相同的，數(shù)據(jù)的發(fā)送者和接收者擁有共同的單個(gè)密鑰。 VPN主要技術(shù)VPN利用Internet的基礎(chǔ)設(shè)施傳輸企業(yè)私有的信息，因此傳遞的數(shù)據(jù)必須經(jīng)過(guò)加密，從而確保網(wǎng)絡(luò)上未授權(quán)的用戶無(wú)法讀取該信息，因此可以說(shuō)密碼技術(shù)是實(shí)現(xiàn)VPN的關(guān)鍵核心技術(shù)之一。如果一個(gè)企業(yè)希望將客戶、供應(yīng)商、合作伙伴或興趣群體連接到企業(yè)內(nèi)部網(wǎng)，可以使用Extranet VPN，它對(duì)應(yīng)于傳統(tǒng)的Extranet解決方案。Access VPN即所謂的移動(dòng)VPN，適用于企業(yè)內(nèi)部人員流動(dòng)頻繁或遠(yuǎn)程辦公的情況。為了保障信息的安全，VPN技術(shù)采用了鑒別、訪問(wèn)控制、保密性、完整性等措施，以防止信息被泄露、篡改和復(fù)制。（60分鐘）五 內(nèi)容的深化和拓寬通過(guò)Win2003的VPN配置使學(xué)生加深對(duì)VPN原理的理解二層和第三層隧道協(xié)議的區(qū)別主要在于用戶數(shù)據(jù)在網(wǎng)絡(luò)協(xié)議棧的第幾層被封裝，其中GRE、IPSec和MPLS主要用于實(shí)現(xiàn)專線VPN業(yè)務(wù)，L2TP主要用于實(shí)現(xiàn)撥號(hào)VPN業(yè)務(wù)（但也可以用于實(shí)現(xiàn)專線VPN業(yè)務(wù)），當(dāng)然這些協(xié)議之間本身不是沖突的，而是可以結(jié)合使用的六． 教學(xué)內(nèi)容與學(xué)時(shí)分配課次周次教學(xué)內(nèi)容15161516 VPN主要技術(shù)15161516 第三次隧道協(xié)議1516 SSLVPN和IPSECVPN1516 小結(jié)與習(xí)題 Decryption）、密鑰管理技術(shù)（Key Management）、使用者與設(shè)備身份鑒別技術(shù)（Authentication）。第十三章 VPN 技術(shù)一． 教學(xué)目標(biāo)和基本要求（1）理解VPN的概念（2）掌握VPN的類型和功能（3）掌握VPN的隧道技術(shù)（4）掌握公鑰加密技術(shù)的原理及主要算法的具體實(shí)現(xiàn)(5) 掌握SSLVPN和IPSECVPN具體應(yīng)用二． 教學(xué)重點(diǎn)與難點(diǎn)VPN的概念和類型，VPN的功能和工作原理，VPN技術(shù)概述和具體應(yīng)用，隧道技術(shù)的基本概念，第二層索道協(xié)議L2TP隧道協(xié)議，第三層隧道協(xié)議GRE隧道協(xié)議，SSLVPN和IPSECVPN優(yōu)缺點(diǎn)。此外，snort具有很好的擴(kuò)展性和可移植性。它具有實(shí)時(shí)數(shù)據(jù)流量分析和日志IP網(wǎng)絡(luò)數(shù)據(jù)包的能力，能夠進(jìn)行協(xié)議分析，對(duì)內(nèi)容進(jìn)行搜索/匹配。誤用檢測(cè)技術(shù)（Misuse Detection）也稱為基于知識(shí)的檢測(cè)技術(shù)或者模式匹配檢測(cè)技術(shù)，它的前提是假設(shè)所有的網(wǎng)絡(luò)攻擊行為和方法都具有一定的模式或特征，如果把以往發(fā)現(xiàn)的所有網(wǎng)絡(luò)攻擊的特征總結(jié)出來(lái)并建立一個(gè)入侵信息庫(kù)，那么入侵檢測(cè)系統(tǒng)可以將當(dāng)時(shí)捕獲到的網(wǎng)絡(luò)行為特征與入侵信息庫(kù)中的特征信息相比較，如果匹配，則當(dāng)前行為就被認(rèn)定為入侵行為。 入侵檢測(cè)技術(shù)入侵檢測(cè)系統(tǒng)的檢測(cè)分析技術(shù)主要分為兩大類，異常檢測(cè)和誤用檢測(cè)。入侵檢測(cè)系統(tǒng)在檢測(cè)到入侵行為的時(shí)候，需要報(bào)警并進(jìn)行相應(yīng)的反應(yīng)。 以給系統(tǒng)提供高級(jí)別的保護(hù)。根據(jù)檢測(cè)器部署位置的不同，入侵檢測(cè)系統(tǒng)具有不同的工作特點(diǎn)。同時(shí)，根據(jù)主動(dòng)防御網(wǎng)絡(luò)的需求，還需要對(duì)入侵檢測(cè)系統(tǒng)的報(bào)警方式進(jìn)行部署和規(guī)劃。將多種入侵檢測(cè)系統(tǒng)按照預(yù)定的計(jì)劃進(jìn)行部署，確保每個(gè)入侵檢測(cè)系統(tǒng)都能夠在相應(yīng)部署點(diǎn)上發(fā)揮作用，共同防護(hù)，保障網(wǎng)絡(luò)的安全運(yùn)行。 入侵檢測(cè)系統(tǒng)的部署 入侵檢測(cè)系統(tǒng)有不同的部署方式和特點(diǎn)。 入侵檢測(cè)系統(tǒng)分類簡(jiǎn)單地說(shuō)，入侵檢測(cè)系統(tǒng)是這樣工作的，若有一個(gè)計(jì)算機(jī)系統(tǒng)，它與網(wǎng)絡(luò)連接著，或許也與Internet連接，由于一些原因，允許網(wǎng)絡(luò)上的授權(quán)用戶訪問(wèn)該計(jì)算機(jī)。 Detection Detection）是對(duì)入侵行為的發(fā)覺(jué)，它通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)搜集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種機(jī)制。 對(duì)入侵防御系統(tǒng)IPS作了簡(jiǎn)單介紹（30分鐘）五 內(nèi)容的深化和拓寬 演示入侵檢測(cè)軟件snort應(yīng)用加深學(xué)生對(duì)入侵檢測(cè)原理的理解六． 教學(xué)內(nèi)容與學(xué)時(shí)分配課次周次教學(xué)內(nèi)容14151415 入侵檢測(cè)系統(tǒng)分類1415 入侵檢測(cè)系統(tǒng)部署1415 入侵檢測(cè)技術(shù)1415 snort入侵檢測(cè)技術(shù)1415 小結(jié)與習(xí)題理論結(jié)合實(shí)際，互動(dòng)式教學(xué)，引導(dǎo)學(xué)生主動(dòng)思考四 教學(xué)設(shè)計(jì)講解入侵檢測(cè)技術(shù)概述，入侵檢測(cè)系統(tǒng)相關(guān)術(shù)語(yǔ)：入侵，入侵檢測(cè)，入侵檢測(cè)系統(tǒng)（10分鐘）入侵檢測(cè)系統(tǒng)的基本機(jī)構(gòu)和系統(tǒng)模型，、入侵檢測(cè)系統(tǒng)的分類，原理和技術(shù)（10分鐘）入侵檢測(cè)系統(tǒng)常用的檢測(cè)方法有特征檢測(cè)、統(tǒng)計(jì)檢測(cè)與專家系統(tǒng)（20分鐘）介紹了入侵檢測(cè)系統(tǒng)中常用的四種技術(shù)：靜態(tài)配置分析、異常檢測(cè)方法、誤用檢測(cè)和基于系統(tǒng)關(guān)鍵程序的安全規(guī)格描述方法。具備高效的性能和高可靠性。另外，具體的選購(gòu)側(cè)重點(diǎn)可注意以下幾方面：注意品牌的選擇。(3）屏蔽子網(wǎng)體系結(jié)構(gòu)。它是最重要的網(wǎng)絡(luò)防護(hù)設(shè)備之一包過(guò)濾（Packet Filtering），作用在協(xié)議組的網(wǎng)絡(luò)層和傳輸層，根據(jù)分組包頭源地址、目的地址和端口號(hào)、協(xié)議類型等標(biāo)志確定是否允許數(shù)據(jù)包通過(guò)，只有滿足過(guò)濾邏輯，也就是滿足一定規(guī)則集的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地的出口端，其余的數(shù)據(jù)包則從數(shù)據(jù)流中丟棄 主流防火墻的部署與實(shí)現(xiàn)防火墻的體系結(jié)構(gòu)一般有以下幾種:(1）雙重宿主主機(jī)體系結(jié)構(gòu)。深度過(guò)濾，建立以防火墻為核心的綜合安全體系，防火墻本身的多功能化，邊被動(dòng)防御為主動(dòng)防御，強(qiáng)大的審計(jì)與主動(dòng)日志分析功能（20分鐘）五 內(nèi)容的深化和拓寬 演示天網(wǎng)防火墻加深對(duì)防火墻原理的理解六． 教學(xué)內(nèi)容與學(xué)時(shí)分配課次周次教學(xué)內(nèi)容131513151315 主流防火墻的部署與實(shí)現(xiàn)1315 防火墻廠商及產(chǎn)品介紹1315 防火墻的發(fā)展趨勢(shì)1315 小結(jié)與習(xí)題這里所說(shuō)的防火墻是位于兩個(gè)(或多個(gè))網(wǎng)絡(luò)間，實(shí)施網(wǎng)絡(luò)間訪問(wèn)控制的一組組件的集合。三 授課方式 理論結(jié)合實(shí)際，互動(dòng)式教學(xué)，引導(dǎo)學(xué)生主動(dòng)思考四 教學(xué)設(shè)計(jì)防火墻的定義，防火墻的位置，防火墻的理論特性和實(shí)際功能，防火墻的規(guī)則，防火墻的分類，使用防火墻的好處與不足（10分鐘）TCP/IP協(xié)議簡(jiǎn)介，包過(guò)濾技術(shù)，狀態(tài)檢測(cè)技術(shù)，代理技術(shù)（20分鐘）過(guò)濾路由器，堡壘主機(jī)，多重宿主主機(jī)，屏蔽主機(jī)。（2）掌握包過(guò)濾防火墻、代理防火墻的工作原理、技術(shù)特點(diǎn)和實(shí)現(xiàn)方式；熟悉防火墻的常見(jiàn)體系結(jié)構(gòu)。 產(chǎn)品缺省提供MSDE 的桌面數(shù)據(jù)庫(kù)安裝包，用戶可以根據(jù)掃描規(guī)模的大小選用MSDE 或者SQL Server 作為使用數(shù)據(jù)庫(kù)。通過(guò)授權(quán)許可具體的掃描引擎軟件可掃描對(duì)象，包括同時(shí)掃描的數(shù)量，也可以指定那些目標(biāo)可以掃描或禁止掃描。執(zhí)行管理控制中心發(fā)來(lái)的掃描任務(wù)，返回掃描結(jié)果到綜合顯示中心顯示并存入數(shù)據(jù)庫(kù)中。查詢歷史掃描結(jié)果，提供多種報(bào)表模版，形成圖、表結(jié)合的豐富報(bào)表，以多種文件格式輸出?？梢赃M(jìn)行樹(shù)形分類察看和分窗口信息察看，顯示掃描進(jìn)度，提供漏洞解釋的詳細(xì)幫助。　　2）綜合顯示中心。 天鏡網(wǎng)絡(luò)漏洞掃描系統(tǒng)天鏡漏洞掃描系統(tǒng)分單機(jī)、便攜和分布式三種版本，分布式產(chǎn)品組成包含幾個(gè)部分：　　1）管理控制中心。 端口分類從端口的性質(zhì)來(lái)分，通常分為以下3類（1）公認(rèn)端口（Well Known Ports）（2）注冊(cè)端口（Registered Ports）（3）動(dòng)態(tài)和/或私有端口（Dynamic and/or Private Ports）如果根據(jù)所提供的服務(wù)方式的不同，端口又可分為“TCP協(xié)議端口”和“UDP協(xié)議端口”兩種 掃描器的類型和組成一般說(shuō)來(lái)，掃描器由以下幾個(gè)模塊組成：用戶界面、掃描引擎、掃描方法集、漏洞數(shù)據(jù)庫(kù)、掃描輸出報(bào)告等。 系統(tǒng)脆弱性分析信息系統(tǒng)存在著許多漏洞，這些漏洞來(lái)自于組成信息系統(tǒng)的各個(gè)方面。三 、授課方式 理論結(jié)合實(shí)際，互動(dòng)式教學(xué)，引導(dǎo)學(xué)生主動(dòng)思考四 教學(xué)設(shè)計(jì)講解漏洞的概念,漏洞的發(fā)現(xiàn),漏洞對(duì)系統(tǒng)的威脅,漏洞掃描的必要性（30分鐘）講解DNS協(xié)議分析，F(xiàn)TP協(xié)議分析，應(yīng)用層的不安全調(diào)用及應(yīng)對(duì)措施（30分鐘）端口簡(jiǎn)介，端口分類，TCP協(xié)議常見(jiàn)端口，UDP協(xié)議常見(jiàn)端口，代理服務(wù)器常見(jiàn)端口（30分鐘）掃描技術(shù)與原理，掃描器的類型和組成，天境漏洞掃描系統(tǒng)組成，部署和特點(diǎn)（30分鐘）五 內(nèi)容的深化和拓寬 通過(guò)運(yùn)用網(wǎng)絡(luò)實(shí)例理解TCP和UDP協(xié)議適用范圍六． 教學(xué)內(nèi)容與學(xué)時(shí)分配課次周次教學(xué)內(nèi)容12141214 系統(tǒng)脆弱性分析1214 端口分類1214 掃描器的類型和組成1214 天鏡網(wǎng)絡(luò)漏洞掃描系統(tǒng)1214 小結(jié)與習(xí)題 漏洞掃描的概念漏洞源自“vulnerability”（脆弱性）。為了減少網(wǎng)絡(luò)流量，當(dāng)一臺(tái)主機(jī)的ARP處理機(jī)制中接收到一個(gè)ARP應(yīng)答的時(shí)候，該主機(jī)不進(jìn)行驗(yàn)證，即使該主機(jī)從未發(fā)出任何的ARP請(qǐng)求，仍然會(huì)把接收的MAC地址(網(wǎng)卡地址)映射信息放入ARP緩沖，也就是說(shuō)，一臺(tái)主機(jī)從網(wǎng)上接收到的任何ARP應(yīng)答都會(huì)更新自己的地址映射表，而不管其是否真實(shí)。攻擊者也能以受攻擊者的名義將錯(cuò)誤或者易于誤解的數(shù)據(jù)發(fā)送到真正的Web服務(wù)器以及以任何Web服務(wù)器的名義發(fā)送數(shù)據(jù)給受攻擊者。這樣，對(duì)那個(gè)客戶想要連接的域名而言，它就算是被黑掉了，因?yàn)榭蛻魶](méi)有得到它的正確的IP地址而無(wú)法連接上它。 口令攻擊入侵者常常采用下面幾種方法獲取用戶的密碼口令：弱口令掃描，Sniffer密碼嗅探，暴力破解，密碼查看器，字典法，窮舉法，其他（如社會(huì)工程學(xué)（即通過(guò)欺詐手段獲?。?，木馬程序或鍵盤記錄程序等） 欺騙攻擊1. DNS欺騙攻擊DNS欺騙的基本原理是: 域名解析過(guò)程中，假設(shè)當(dāng)提交給某個(gè)域名服務(wù)器的域名解析請(qǐng)求的數(shù)據(jù)包被截獲，然后按截獲者的意圖將一個(gè)虛假的IP地址作為應(yīng)答信息返回給請(qǐng)求者。狹義上講， 它是遠(yuǎn)程的、通過(guò)網(wǎng)絡(luò)進(jìn)行的DoS攻擊。在計(jì)算機(jī)內(nèi)的程序是按如圖911所示的形式存儲(chǔ)的圖 911 程序在內(nèi)存中的存儲(chǔ) 拒絕服務(wù)攻擊拒絕服務(wù)(Denial of Service，DoS)攻擊廣義上可以指任何導(dǎo)致用戶的服務(wù)器不能正常提供服務(wù)的攻擊。網(wǎng)絡(luò)攻擊的信息收集技術(shù)主要有網(wǎng)絡(luò)踩點(diǎn)、網(wǎng)絡(luò)掃描和網(wǎng)絡(luò)監(jiān)聽(tīng)等。（30分鐘）社會(huì)工程學(xué)攻擊、課程小結(jié)。第九章 網(wǎng)絡(luò)攻擊行為分析一． 教學(xué)目標(biāo)和基本要求（1）了解互聯(lián)網(wǎng)上的黑色產(chǎn)業(yè)鏈（2）掌握緩沖區(qū)溢出原理和攻擊實(shí)例（3）掌握拒絕服務(wù)攻擊原理和分布式拒絕服務(wù)攻擊原理（4）掌握口令破解的基本方法和破解工具(5) 掌握欺騙攻擊原理二． 教學(xué)重點(diǎn)與難點(diǎn)緩沖區(qū)溢出原理，拒絕服務(wù)攻擊原理，分布式拒絕服務(wù)攻擊原理，欺騙攻擊原理。(Certificate Authority，CA)、證書庫(kù)、密鑰備份及恢復(fù)系統(tǒng)、證書作廢處理系統(tǒng)和應(yīng)用接口等部分組成CA—認(rèn)證中心 CA為電子政務(wù)、電子商務(wù)等網(wǎng)絡(luò)環(huán)境中各個(gè)實(shí)體頒發(fā)數(shù)字證書，以證明身份的真實(shí)性，并負(fù)責(zé)在交易中檢驗(yàn)和管理證書；CA對(duì)數(shù)字證書的簽名使得第三者不能偽造和篡改證書。前者是主動(dòng)識(shí)別對(duì)方的身份，后者是對(duì)對(duì)方身份的檢驗(yàn)和證明 PKI技術(shù) PKI(Public Key Infrastructure)是公鑰基礎(chǔ)設(shè)施的簡(jiǎn)稱，是一種遵循標(biāo)準(zhǔn)的，利用公鑰密碼技術(shù)為網(wǎng)上電子商務(wù)、電子政務(wù)等各種應(yīng)用提供安全服務(wù)的基礎(chǔ)平臺(tái)。身份識(shí)別就是確定某一實(shí)體的身份，知道這個(gè)實(shí)體是誰(shuí)。Web安全技術(shù)主要包括Web服務(wù)器安全技術(shù)、Web應(yīng)用服務(wù)安全技術(shù)和Web瀏覽器安全技術(shù)三類 電子郵件安全技術(shù)Email系統(tǒng)主要由郵件分發(fā)代理、郵件傳輸代理、郵件用戶代理及郵件工作站組成Email系統(tǒng)的組成 在現(xiàn)實(shí)社會(huì)中，人們常常會(huì)被問(wèn)到: 你是誰(shuí)？在網(wǎng)絡(luò)世界里，這個(gè)問(wèn)題同樣會(huì)出現(xiàn)，許多信息系統(tǒng)在使用前，都要求用戶注冊(cè)，通過(guò)驗(yàn)證后才能進(jìn)入。理論結(jié)合實(shí)際，互動(dòng)式教學(xué)，引導(dǎo)學(xué)生主動(dòng)思考四 教學(xué)設(shè)計(jì)講解Web概念,web的安全目標(biāo),web安全技術(shù)的分類（20分鐘）電子郵件系統(tǒng)的組成,電子郵件安全目標(biāo),電子郵件安全技術(shù)分類,電子郵件安全標(biāo)準(zhǔn)PGP（20分鐘）身份認(rèn)證的含義,身份認(rèn)證的方法（20分鐘）PKI技術(shù)概述，PKI技術(shù)組成,數(shù)字證書的使用，USBKey客戶證書，小結(jié)（40分鐘）五 內(nèi)容的深化和拓寬演示SSL加密服務(wù)器證書在IIS中的應(yīng)用配置應(yīng)用實(shí)驗(yàn),使學(xué)生了解安全協(xié)議在實(shí)際中的應(yīng)用六． 教學(xué)內(nèi)容與學(xué)時(shí)分配課次周次教學(xué)內(nèi)容913 web安全技術(shù)913 電子郵件安全技術(shù)913 身份認(rèn)證技術(shù)910 PKI技術(shù) web安全技術(shù)Web最初是以開(kāi)發(fā)一個(gè)人類知識(shí)庫(kù)為目標(biāo)，并為某一項(xiàng)目的協(xié)作者提供相關(guān)信息及交流思想的途徑?！?. SHTTP和PGP這兩個(gè)網(wǎng)絡(luò)安全協(xié)議是為什么應(yīng)用而設(shè)計(jì)的?　　3. 假設(shè)甲需要發(fā)送一份機(jī)密文件()給乙，試簡(jiǎn)述甲、乙雙